¿Qué son las amenazas internas?
Suscríbase al boletín de IBM Explore IBM Security QRadar
Primer plano de un hombre pensativo con la pantalla del ordenador que se refleja en sus gafas

Las amenazas internas son amenazas de ciberseguridad que tienen su origen en usuarios autorizados: empleados, contratistas, socios comerciales, etc., que, de forma intencionada o accidental, hacen un uso indebido de su acceso legítimo, o cuyas cuentas son secuestradas por ciberdelincuentes.

Si bien las amenazas externas son más comunes y acaparan los titulares de los ciberataques más importantes, las amenazas internas, ya sean malintencionadas o el resultado de una negligencia, pueden ser más costosas y peligrosas. Según el Informe sobre el coste de una violación de datos de 2023 de IBM, las filtraciones de datos iniciadas por personas con información privilegiada malintencionada fueron las más costosas: 4,90 millones de dólares en promedio, un 9,5% más que el coste medio de una violación de datos de 4,45 millones de dólares. Y un reciente informe de Verizon reveló que, aunque la media de amenazas externas pone en peligro alrededor de 200 millones de registros, los incidentes que implican a un actor interno han dado lugar a una exposición de 1 millones de registros o más.1

Demostración por clic

Vea cómo IBM Security® QRadar® SIEM identifica e investiga el comportamiento anómalo.

Tipos de amenazas internas
Personas internas malintencionadas

Los intrusos malintencionados suelen ser empleados actuales descontentos, o antiguos empleados descontentos cuyas credenciales de acceso no se han retirado, que hacen un mal uso intencionado de su acceso por venganza, beneficio económico o ambas cosas. Algunos intrusos malintencionados "trabajan" para un intruso malintencionado, como un pirata informático, un competidor o un agente de un Estado-nación, para perturbar las operaciones de la empresa (instalando malware o manipulando archivos o aplicaciones) o para filtrar información de clientes, propiedad intelectual, secretos comerciales u otros datos sensibles.

Algunos ataques recientes de usuarios internos malintencionados:

Personas internas negligentes

Las personas internas negligentes no tienen intenciones malintencionadas, sino que crean amenazas a la seguridad por ignorancia o descuido, por ejemplo, al caer en un ataque de phishing, saltarse los controles de seguridad para ahorrar tiempo, perder un portátil que un ciberdelincuente puede utilizar para acceder a la red de la organización o enviar por correo electrónico archivos incorrectos (por ejemplo, archivos que contienen información confidencial) a personas ajenas a la organización.

Entre las empresas encuestadas en el informe mundial Ponemon sobre el coste de las amenazas internas de 2022, la mayoría de las amenazas internas (el 56 por ciento) se debieron a descuidos o negligencias por parte de personas con acceso a información privilegiada.2

Personas internas comprometidas

Las personas internas comprometidas son usuarios legítimos cuyas credenciales han sido robadas por agentes externos.Las amenazas lanzadas a través de personas internas comprometida son las que salen más caras, ya que, según el informe Ponemon, su reparación cuesta a las víctimas una media de 804 997 dólares.3

A menudo, una persona se convierte en persona interna comprometida como resultado de un comportamiento negligente por su parte. Por ejemplo, en 2021 un estafador utilizó una táctica de ingeniería social, concretamente una llamada telefónica de phishing por voz (vishing) para obtener credenciales de acceso a los sistemas de atención al cliente en la plataforma de negociación Robinhood. Más de 5 millones de direcciones de correo electrónico de clientes y 2 millones de nombres de clientes fueron robados en el ataque (enlace externo).

Armas en la lucha contra las amenazas internas

Dado que las amenazas internas son ejecutadas en parte o en su totalidad por usuarios con credenciales completas, y a veces por usuarios privilegiados, puede ser especialmente difícil separar los indicadores o el comportamiento de las amenazas internas por descuido o mala intención de las acciones y comportamientos de usuarios normales. Según un estudio, los equipos de seguridad tardan una media de 85 días en detectar y contener una amenaza interna4, pero algunas amenazas internas pasan años sin detectarse (enlace externo).

Para detectar, contener y prevenir mejor las amenazas internas, los equipos de seguridad confían en una combinación de prácticas y tecnologías.

Formación para empleados y usuarios

La formación continua de todos los usuarios autorizados en materia de política de seguridad (por ejemplo, higiene de contraseñas, manejo adecuado de datos confidenciales, notificación de dispositivos perdidos) y concienciación sobre la seguridad (por ejemplo, cómo reconocer una estafa de phishing, cómo dirigir correctamente las solicitudes de acceso al sistema o a datos confidenciales) puede ayudar a reducir el riesgo de amenazas internas por negligencia. La formación también puede mitigar el impacto de las amenazas en general. Por ejemplo, según el Informe sobre el coste de una violación de datos de 2023, el coste medio de una violación de datos en las empresas con formación de sus empleados fue 232 867 USD menos (un 5,2 por ciento menos) que el coste medio general de una violación de datos.

Gestión de identidad y acceso

La gestión de identidad y acceso (IAM, por sus siglas en inglés) se centra en gestionar las identidades de los usuarios, la autenticación y los permisos de acceso, de forma que se garantice que los usuarios y dispositivos adecuados puedan acceder a las razones correctas en el momento adecuado. (La gestión de accesos privilegiados, una subdisciplina de la IAM, se centra en un control más detallado de los privilegios de acceso concedidos a usuarios, aplicaciones, cuentas administrativas y dispositivos).

Una función clave de IAM para prevenir ataques internos es la gestión del ciclo de vida de la identidad. Limitar los permisos de un empleado descontento que se marcha o dar de baja inmediatamente las cuentas de los usuarios que han abandonado la empresa son ejemplos de acciones de gestión del ciclo de vida de las identidades que pueden reducir el riesgo de amenazas internas.

Análisis del comportamiento del usuario

El análisis del comportamiento de los usuarios (UBA, por sus siglas en inglés) aplica el análisis avanzado de datos y la inteligencia artificial (IA) ara modelar los comportamientos básicos de los usuarios y detectar anomalías que puedan indicar ciberamenazas emergentes o en curso, incluidas posibles amenazas internas. (Una tecnología estrechamente relacionada, análisis de comportamiento de usuarios y entidades (UEBA, por sus siglas en inglés), amplía estas capacidades para detectar comportamientos anómalos en sensores IoT y otros dispositivos de punto final).

El UBA se utiliza frecuentemente junto con la gestión de eventos e información de seguridad (SIEM, por sus siglas en inglés), que recopila, correlaciona y analiza datos relacionados con la seguridad de toda la empresa.

Seguridad ofensiva

La seguridad ofensiva (o OffSec) utiliza tácticas de adversario (las mismas tácticas que utilizan los atacantes malintencionados en los ataques del mundo real) para reforzar la seguridad de la red en lugar de ponerla en peligro. La seguridad ofensiva suele correr a cargo de hackers éticos, profesionales de la ciberseguridad que utilizan sus conocimientos de piratería informática para detectar y corregir no solo los fallos de los sistemas informáticos, sino también los riesgos para la seguridad y las vulnerabilidades en la forma en que los usuarios responden a los ataques.

Las medidas de seguridad ofensiva que pueden ayudar a fortalecer los programas de amenazas internas incluyen simulaciones de phishing y equipos rojos, donde un equipo de hackers éticos lanza un ciberataque simulado y orientado a objetivos contra la organización.

Soluciones relacionadas
Soluciones de seguridad contra amenazas internas

Las amenazas internas pueden ser difíciles de detectar, la mayoría de los casos pasan desapercibidos durante meses o años. Proteja a su organización de las amenazas malintencionadas o involuntarias de personas con acceso a su red.

Descubra las soluciones de seguridad contra amenazas internas
Búsqueda de amenazas con IBM Security QRadar SIEM

Proporcione a los analistas de seguridad las herramientas que necesitan para mejorar significativamente las tasas de detección y acelerar el tiempo para detectar e investigar amenazas. Los datos de eventos normalizados de QRadar SIEM permiten a los analistas utilizar consultas sencillas para encontrar la actividad de ataque asociada a través de fuentes de datos dispares.

Descubra la búsqueda de amenazas con IBM QRadar
Servicios de gestión de amenazas

Proteja los activos críticos y gestione todo el ciclo de vida de las amenazas con un enfoque inteligente y unificado de la gestión de amenazas que le ayuda a detectar amenazas avanzadas, responder rápidamente con precisión y recuperarse de las interrupciones. 

Explore los servicios de gestión de amenazas
Recursos Coste de la vulneración de datos 2023

Prepárese mejor para las vulneraciones comprendiendo sus causas y los factores que aumentan o reducen los costes. Conozca las experiencias de más de 550 organizaciones afectadas por una vulneración de datos.

¿Qué es la SIEM?

SIEM (gestión de eventos e información de seguridad) es un software que ayuda a las organizaciones a reconocer y abordar posibles amenazas y vulnerabilidades de seguridad antes de que puedan interrumpir las operaciones empresariales.

Índice de Inteligencia de Amenazas de IBM Security X-Force de 2023

Conozca las amenazas para acabar con ellas: obtenga información práctica que le ayude a comprender cómo los actores de las amenazas están llevando a cabo los ataques y cómo proteger de forma proactiva a su organización.

Taller sobre estructuración y descubrimiento de IBM Security

Comprenda su panorama de ciberseguridad y priorice iniciativas con la colaboración de expertos arquitectos y consultores de seguridad de IBM, sin coste, en una sesión de "design thinking" virtual o presencial de tres horas.

¿Qué es la gestión de amenazas?

La gestión de amenazas es un proceso empleado por los profesionales de la ciberseguridad para prevenir ciberataques, detectar ciberamenazas y responder a incidentes de seguridad

Manténgase al día sobre las amenazas internas

Lea las últimas tendencias y técnicas de prevención de amenazas internas en Security Intelligence, el blog de liderazgo intelectual alojado por IBM Security.

Dé el siguiente paso

Las amenazas de ciberseguridad son cada vez más avanzadas y persistentes, y exigen un mayor esfuerzo por parte de los analistas de seguridad para examinar innumerables alertas e incidentes. IBM Security QRadar SIEM facilita la eliminación de amenazas al tiempo que protege su cuenta de resultados. QRadar SIEM establece alertas ultrafiables para ayudarle a identificar amenazas que otras soluciones pasan por alto.

Más información sobre QRadar SIEM Solicite una demo de QRadar SIEM
Notas a pie de página